Ataque de Hombre en el Medio usando Protocolo DHCP

Clase 13 de 33Curso de Pentesting a Redes

Clase anteriorSiguiente clase

Resumen

¿Qué es un servidor DHCP y cómo funciona?

Un servidor DHCP es el encargado de asignar automáticamente direcciones IP a los dispositivos que se conectan a una red local. Esto es común, por ejemplo, cuando te conectas a una red inalámbrica en un café, o cuando llegas a la oficina y conectas tu computadora. El servidor DHCP concede una dirección IP a los dispositivos, facilitando la conexión sin necesidad de configuración manual.

¿Cuáles son las vulnerabilidades del protocolo DHCP?

El protocolo DHCP, en su forma más básica, no utiliza cifrado ni autenticación. Esta característica, aunque práctica para la configuración inicial, representa una vulnerabilidad que puede ser explotada para realizar ataques de “hombre en el medio”. Un atacante podría manipular los valores de la puerta de enlace predeterminada para monitorear el tráfico que sale de los dispositivos conectados.

¿Cómo se realiza un ataque de hombre en el medio a través de DHCP?

El ataque consiste en aprovechar una solicitud de DHCP Discover que envía un dispositivo al conectarse por primera vez a la red. El objetivo es que un servidor DHCP no legítimo, que es muy rápido en responder, pueda ofrecer una dirección IP con configuraciones alteradas (como las de la puerta de enlace predeterminada) antes que el servidor legítimo, ganando así esa “carrera” para entregar la configuración.

¿Cómo realizar un ataque de spoofing DHCP?

¿Qué herramientas se necesitan?

  • Etercap: Utilizado en la modalidad DHCP Spoofing para enviar configuraciones alteradas.
  • Wireshark: Herramienta para capturar y analizar tráfico de red.

¿Cuál es el proceso paso a paso?

  1. Configuración del servidor DHCP falso: Con Etercap, se define un rango de direcciones IP para el nuevo servidor DHCP. Ejemplo:

    sudo ettercap -T -q -i <interface> -P dhcpspoof --ip <ip-rango>

  2. Captura y análisis de tráfico: Utilizar herramientas como Wireshark para monitorear y capturar el tráfico que se enrutará a través de la máquina atacante.

  3. Liberación de direcciones IP en los dispositivos víctima: Usar comandos como dhclient -r en las máquinas objetivo para forzar un nuevo proceso de DHCP Discover, permitiendo que el servidor falso pueda intervenir.

  4. Recepción de la oferta DHCP fraudulenta: Si se ejecuta correctamente, la máquina víctima aceptará la configuración del servidor DHCP falso, y el tráfico comenzará a pasar a través del atacante.

¿Qué resultados se pueden lograr?

Al ejecutar exitosamente el ataque, es posible monitorear y capturar datos sensibles, como credenciales de inicio de sesión, detalles de formularios web, y más. Estos datos pueden ser muy útiles para pruebas de penetración y análisis de seguridad.

Recomendaciones finales para la seguridad de redes

  • Implementar DHCP snooping: Esta característica en los switches ayuda a filtrar respuestas DHCP no autorizadas.
  • Usar autenticación y cifrado: Implementar tecnologías de autenticación y cifrado para proteger el tráfico de red.
  • Monitorear la red regularmente: Utilizar herramientas como Wireshark para detectar actividades sospechosas en la red.
  • Capacitar al personal de TI: Asegúrate de que tu equipo esté formado en ciberseguridad y consciente de las últimas técnicas de ataque.

Es fundamental mantenerse informado y proactivo en la protección de infraestructuras de red. Siempre existen nuevas técnicas y herramientas, por lo que la formación continua y el intercambio de experiencias son esenciales.